Zo verwerk je veilig persoonsgegevens in het buitenland

[update juli 2020] Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.

Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.

Binnen EU: Voldoen aan de Avg

Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de algemene eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.

Buiten EU: Ieder land anders

Voor de doorgifte van persoonsgegevens vanuit Nederland naar buiten de Europese Economische Ruimte – de derde landen- gelden andere regels. Zo moet er onder andere een passend beschermingsniveau zijn.

Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet.

Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.

	Moet je voldoen aan de Avg?	Zijn er aanvullende eisen?	Waar moet je op letten?
Binnen de EER Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland. Zie hier een actueel overzicht	Ja	Nee	Per 31 januari 2020 is Groot-Brittanië geen lid meer van de EER. Er geldt een overgangsfase, zodat tot 31 december 2020 alle EU-regels van kracht blijven. Lees meer in onze Brexit Toolkit.
Buiten de EER Veilige landen Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw Zeeland, Zwitserland, Uruguay en (beperkt) VS Zie hier een actueel overzicht	Ja	Er moet een adequaatheidsbesluit zijn genomen. Daar kunnen aanvullende eisen in staan.	Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties. Verenigde Staten: adequaatheidsbesluit geldt alléén als de verwerkende partij zich heeft aangesloten bij EU-VS Privacy Shield; of als het gaat om Passenger Name Records. Let op: het Privacy Shield is ongeldig verklaard in de uitspraak Schrems II. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de VS meer doorgeven op grond van het Privacy Shield. Hier leggen we uit welke stappen je kan ondernemen als jouw organisatie persoonsgegevens doorgeeft aan een partij in de VS.
Buiten de EER Op basis van een overeenkomst	Ja	Ja, doorgifte kan op basis van een goedgekeurd modelcontract. Ook wel: Standaard contractual clauses	De Europese Commissie heeft drie modelcontracten goedgekeurd: verwerkingsverantwoordelijke binnen de EU en verwerkingsverantwoordelijke buiten de EU (twee varianten). verwerkingsverantwoordelijke binnen de EU en een verwerker buiten de EU (één variant). Er bestaat op het moment van schrijven nog geen variant voor doorgifte tussen verwerkers. Let op: het kan zijn dat je aanvullende afspraken moet maken om te voldoen aan bijvoorbeeld artikel 28 Avg.
Buiten de EER Op basis van een gedragscode *	Ja	Ja, een goedgekeurde gedragscode.	Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificaten.
Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie.	Ja	Ja, goedgekeurde bindende bedrijfsvoorschriften die gelden binnen de diverse onderdelen van de groepsmaatschappij.	Bij de toezichthouder goedkeuring vragen voor en gebruik maken van Binding Corporate Rules (BCR’s) is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren.
Buiten de EER Geen van bovenstaande waarborgen.	Ja	Ja	Er zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn. Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering.

* Afspraken op basis van een gedragscode

Onder de Avg kan een (sub)verwerker zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurd certificaat. De Europese commissaris voor justitie, consumentenrechten en gendergelijkheid, Vera Jourová, ziet een rol weggelegd voor certificering en het aansluiten bij een gedragscode om aan te tonen dat is voldaan aan de verplichtingen van de Avg. De Europese Commissie heeft zich bereid verklaard om dit te faciliteren, maar de initiatieven daartoe moeten uit de markt komen. Dit sluit mooi aan bij de Data Pro Code van NLdigital, waarin we een op de (ICT)verwerker toegespitste uitleg geven aan de Avg. De Data Pro Code is in eerste instantie alleen van toepassing op Nederland.

Wil je individueel advies?

De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen. Leden van NLdigital kunnen hun vraag ook indienen via het ledenportal.

Ben je nog geen lid? Dan is dit een mooi moment om wel lid te worden! Lees hier meer over het lidmaatschap van NLdigital.